【正文】 22ISMS流程圖組織應(yīng)在整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的信息安全管理體系。為滿足該標(biāo)準(zhǔn)的目的，使用的過(guò)程建立在圖一所示的PDCA模型基礎(chǔ)上。組織應(yīng)做到如下幾點(diǎn)：a) 應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息安全管理體系的范圍。b) 應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息安全管理體系的方針，方針應(yīng)：1)包括為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則。2)考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。3)建立組織戰(zhàn)略和風(fēng)險(xiǎn)管理的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全管理體系。 4)建立風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估定義的結(jié)構(gòu)。5)經(jīng)管理層批準(zhǔn)。c) 確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法識(shí)別適用于信息安全管理體系及已識(shí)別的信息安全、法律和法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。為信息安全管理體系建立方針和目標(biāo)以降低風(fēng)險(xiǎn)至可接受的水平。確定接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和識(shí)別可接受風(fēng)險(xiǎn)的水平。d) 確定風(fēng)險(xiǎn)1)在信息安全管理體系的范圍內(nèi)，識(shí)別資產(chǎn)及其責(zé)任人。2)識(shí)別對(duì)這些資產(chǎn)的威脅。3)識(shí)別可能被威脅利用的脆弱性。4)別資產(chǎn)失去保密性、完整性和可用性的影響。e) 評(píng)價(jià)風(fēng)險(xiǎn)1)評(píng)估由于安全故障帶來(lái)的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2)評(píng)估與這些資產(chǎn)相關(guān)的主要威脅、脆弱點(diǎn)和影響造成此類事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的控制措施；3)估計(jì)風(fēng)險(xiǎn)的等級(jí)；4)確定介紹風(fēng)險(xiǎn)或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理。f) 識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施：可能的行動(dòng)包括：1)應(yīng)用合適的控制措施；2)知道并有目的地接受風(fēng)險(xiǎn)，同時(shí)這些措施能清楚地滿足組織方針和接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)；3)避免風(fēng)險(xiǎn)；4)轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如：保險(xiǎn)業(yè)，供應(yīng)商等。 g) 選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)：，應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果調(diào)整。 h) 準(zhǔn)備一份適用性聲明。從上面選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。；i) 提議的殘余風(fēng)險(xiǎn)應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施和運(yùn)作信息安全管理體系。 文件要求信息安全管理體系文件應(yīng)包括：a) 文件化的安全方針文件和控制目標(biāo)；b) 信息安全管理體系范圍和程序及支持信息安全管理體系的控制措施；c) 風(fēng)險(xiǎn)評(píng)估報(bào)告；d) 風(fēng)險(xiǎn)處理計(jì)劃；e) 組織需要的文件化的程序以確保有效地計(jì)劃運(yùn)營(yíng)和對(duì)信息安全過(guò)程的控制；f) 本標(biāo)準(zhǔn)要求的記錄；g) 適用性聲明。 文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a) 文件發(fā)布前得到批準(zhǔn)，以確保文件的充分性；b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并再次批準(zhǔn)；c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d) 確保在使用處可獲得適用文件的有關(guān)版本；e) 確保文件保持清晰、易于識(shí)別； f) 確保外來(lái)文件得到識(shí)別，并控制其分發(fā)；g) 確保文件的發(fā)放在控制狀態(tài)下；h) 防止作廢文件的非預(yù)期使用；i) 若因任何原因而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。 記錄控制應(yīng)建立并保持紀(jì)錄，以提供符合要求和信息安全管理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被控制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識(shí)別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和處置所需的控制。需要一個(gè)管理過(guò)程確定記錄的程度。應(yīng)保留上述過(guò)程績(jī)效記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。例如：訪問(wèn)者的簽名簿，審核記錄和授權(quán)訪問(wèn)記錄。4 實(shí)施和運(yùn)作信息安全管理體系 組織應(yīng)按如下步聚實(shí)施：a) 識(shí)別合適的管理行動(dòng)和確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序（即：風(fēng)險(xiǎn)處理計(jì)劃；b) 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到識(shí)別的控制目標(biāo)，包括對(duì)資金的考慮和落實(shí)安全角色和責(zé)任；c) 實(shí)施在上述章節(jié)里選擇的控制目標(biāo)和控制措施；d) 培訓(xùn)和意識(shí)；e) 管理運(yùn)作過(guò)程；f) 管理資源；g) 實(shí)施程序和其他有能力隨時(shí)探測(cè)和回應(yīng)安全事故的控制措施。5 監(jiān)控和評(píng)審信息安全管理體系 監(jiān)控信息安全管理體系組織應(yīng)：a) 執(zhí)行監(jiān)控程序和其他控制措施，以：1)實(shí)時(shí)探測(cè)處理結(jié)果中的錯(cuò)誤；2)及時(shí)識(shí)別失敗和成功的安全破壞和事故；3)能夠使管理層確定分派給員工的或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目標(biāo)；4)確定解決安全破壞的行動(dòng)是否反映了運(yùn)營(yíng)的優(yōu)先級(jí)。b) 進(jìn)行常規(guī)的信息安全管理體系有效性的評(píng)審（包括符合安全方針和目標(biāo)，及安全控制措施的評(píng)審）考慮安全評(píng)審的結(jié)果、事故、來(lái)自所有利益相關(guān)方的建議和反饋；c) 評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平，考慮以下方面的變化：1)組織2)技術(shù)3)業(yè)務(wù)目標(biāo)和過(guò)程4)識(shí)別威脅，及5)外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會(huì)環(huán)境發(fā)生變化。 d) 在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部信息安全管理體系審核。e) 經(jīng)常進(jìn)行信息安全管理體系管理評(píng)審（至少每年評(píng)審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全管理體系過(guò)程中的改進(jìn)措施已被識(shí)別（見(jiàn)信息安全管理體系的管理評(píng)審）；f) 記錄所采取的行動(dòng)和能夠影響信息安全管理體系的有效性或績(jī)效的事件。 維護(hù)和改進(jìn)信息安全管理體系組織應(yīng)經(jīng)常：a) 實(shí)施已識(shí)別的對(duì)于信息安全管理體系的改進(jìn)措施b) 采取合適的糾正和預(yù)防措施[]. 應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到的知識(shí)。c) 溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。d) 確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo)。 信息安全管理體系的管理評(píng)審管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。 評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要， 包括安全方針和安全目標(biāo)。 評(píng)審的結(jié)果應(yīng)清楚地文件化，應(yīng)保持管理評(píng)審的紀(jì)錄。 評(píng)審輸入管理評(píng)審的輸入應(yīng)包括以下方面的信息：a) 信息安全管理體系審核和評(píng)審的結(jié)果；b) 相關(guān)方的反饋；c) 可以用于組織改進(jìn)其信息安全管理體系績(jī)效和有效性的技術(shù)，產(chǎn)品或程序；d) 預(yù)防和糾正措施的狀況；e) 以前風(fēng)險(xiǎn)評(píng)估沒(méi)有足夠強(qiáng)調(diào)的脆弱性或威脅；f) 以往管理評(píng)審的跟蹤措施；g) 任何可能影響信息安全管理體系的變更；h) 改進(jìn)的建議。 評(píng)審輸出管理評(píng)審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a) 對(duì)信息安全管理體系有效性的改進(jìn)；b) 修改影響信息安全的程序，必要時(shí)，回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更：1） 業(yè)務(wù)要求；2） 安全要求；3） 業(yè)務(wù)過(guò)程影響現(xiàn)存的業(yè)務(wù)要求；4） 法規(guī)或法律環(huán)境；5） 風(fēng)險(xiǎn)的等級(jí)和/或可接受風(fēng)險(xiǎn)的水平；c) 資源需求。 內(nèi)部信息安全管理體系審核組織應(yīng)按策化的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)、控制措施、過(guò)程和程序是否：a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b) 符合識(shí)別的信息安全的要求；c) 被有效地實(shí)施和維護(hù)；d) 達(dá)到預(yù)想的績(jī)效。任何審核活動(dòng)應(yīng)策劃， 策劃應(yīng)考慮過(guò)程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。選擇審核員及進(jìn)行審核應(yīng)確保審核過(guò)程的客觀和公正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個(gè)文件化的程序中確定策劃和實(shí)施審核，報(bào)告結(jié)果和維護(hù)記錄[]的責(zé)任及要求。負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保沒(méi)有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。改進(jìn)措施應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的結(jié)果[見(jiàn)條款7]。6 信息安全管理體系改進(jìn) 持續(xù)改進(jìn)組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。 糾正措施組織應(yīng)確定措施，以消除與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的不合格的原因，防止不合格的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a) 識(shí)別實(shí)施和/或運(yùn)行信息安全管理體系中的不合格；b) 確定不合格的原因；c) 評(píng)價(jià)確保不合格不再發(fā)生的措施的需求；d) 確定和實(shí)施所需的糾正措施；e) 記錄所采取措施的結(jié)果；f) 評(píng)審所采取的糾正措施。 預(yù)防措施組織應(yīng)針對(duì)潛在的不合格確定措施以防止其發(fā)生。預(yù)防措施應(yīng)于潛在問(wèn)題的影響程度相適應(yīng)。應(yīng)為預(yù)防措施編制形成文件的程序，以規(guī)定以下方面的要求：a) 識(shí)別潛在的不合格及引起不合格的原因；b) 確定和實(shí)施所需的預(yù)防措施；c) 記錄所采取措施的結(jié)果；d) 評(píng)價(jià)所采取的預(yù)防措施；e) 識(shí)別已變更的風(fēng)險(xiǎn)和確保注意力關(guān)注在重大的已變更的風(fēng)險(xiǎn)。糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。7 控制措施的選擇通?？刂拼胧┦窃贐S7799的十大領(lǐng)域中進(jìn)行選擇，當(dāng)然針對(duì)不同組織的實(shí)際情況選擇控制目標(biāo)不同，上述曾介紹過(guò)的需進(jìn)行適用性聲明。以下將詳細(xì)介紹十大領(lǐng)域的控制措施。 安全方針 信息安全方針目標(biāo)：為信息安全提供管理指導(dǎo)和支持。管理者應(yīng)該制定一套清晰的指導(dǎo)方針，并通過(guò)在組織內(nèi)對(duì)信息安全方針的發(fā)布和保持來(lái)證明對(duì)信息安全的支持與承諾。1. 信息安全方針文件方針文件應(yīng)得到管理者批準(zhǔn)，并以適當(dāng)?shù)姆绞桨l(fā)布、傳達(dá)到所有員工。該文件應(yīng)該闡明管理者對(duì)實(shí)行信息安全的承諾，并陳述組織管理信息安全的方法，它至少應(yīng)該包括以下幾個(gè)部分：信息安全的定義，其總體目標(biāo)和范圍，以及其作為信息共享的安全機(jī)制的重要性（見(jiàn)引言）；申明支持信息安全目標(biāo)和原則的管理意向；對(duì)組織有重大意義的安全方針、原則、標(biāo)準(zhǔn)和符合性要求的簡(jiǎn)要說(shuō)明，例如：符合法規(guī)和合同的要求；安全教育的要求；對(duì)計(jì)算機(jī)病毒和其他惡意軟件的防范和檢測(cè)；可持續(xù)運(yùn)營(yíng)的管理；違反安全方針的后果；對(duì)信息安全管理的總體和具體責(zé)任的定義，包括匯報(bào)安全事故；提及支持安全方針的文件，如：特定信息系統(tǒng)的更加詳細(xì)的安全方針和程序，或用戶應(yīng)該遵守的安全規(guī)定。本方針應(yīng)以恰當(dāng)、易得、易懂的方式向單位的預(yù)期使用者進(jìn)行傳達(dá)。 評(píng)審與鑒定方針應(yīng)有專人按照既定的評(píng)審程序負(fù)責(zé)它的保持和評(píng)審。該程序應(yīng)確保任何影響原始風(fēng)險(xiǎn)評(píng)估根據(jù)的變化都會(huì)得到相應(yīng)的評(píng)審，如：重大的安全事故、新的脆弱性、組織基礎(chǔ)結(jié)構(gòu)或技術(shù)基礎(chǔ)設(shè)施的變化。同樣應(yīng)對(duì)以下各項(xiàng)進(jìn)行有計(jì)劃的、定期的評(píng)審：a） 方針的有效性，可通過(guò)記錄在案的安全事故的性質(zhì)、數(shù)量和所造成的影響來(lái)論證；b） 對(duì)運(yùn)營(yíng)效率進(jìn)行控制的成本和效果；c） 技術(shù)變化所造成的影響； 安全組織 信息安全基礎(chǔ)結(jié)構(gòu)目標(biāo)：在組織內(nèi)部管理信息安全。應(yīng)建立管理框架，在組織內(nèi)部開(kāi)展和控制信息安全的實(shí)施。應(yīng)該建立具有管理權(quán)的適當(dāng)?shù)男畔踩芾砦瘑T會(huì)來(lái)批準(zhǔn)信息安全方針、分配安全職責(zé)并協(xié)調(diào)組織內(nèi)部信息安全的實(shí)施。如有必要，應(yīng)在組織內(nèi)建立提供信息安全建議的專家小組并使其有效。應(yīng)建立和組織外部安全專家的聯(lián)系，以跟蹤行業(yè)趨勢(shì)，監(jiān)督安全標(biāo)準(zhǔn)和評(píng)估方法，并在處理安全事故時(shí)提供適當(dāng)?shù)穆?lián)絡(luò)渠道。另外應(yīng)鼓勵(lì)多學(xué)科的信息安全方法的發(fā)展，如：經(jīng)理人、用戶、行政人員、應(yīng)用軟件設(shè)計(jì)者、審核人員和保安人員以及行業(yè)專家（如保險(xiǎn)和風(fēng)險(xiǎn)管理領(lǐng)域）之間的協(xié)作。1. 信息安全管理委員會(huì)信息安全是管理團(tuán)隊(duì)中所有成員共同的職務(wù)責(zé)任。因此應(yīng)考慮建立信息安全委員會(huì)以確保為信息安全的啟動(dòng)工作提供明確的指導(dǎo)和明顯的管理支持。該委員會(huì)應(yīng)該在組織內(nèi)部通過(guò)適當(dāng)?shù)某兄Z和提供充足的資源來(lái)促進(jìn)安全工作。信息安全管理委員會(huì)可以作為現(xiàn)有管理團(tuán)體的一部分，所承擔(dān)的職責(zé)主要有：評(píng)審和批準(zhǔn)信息安全方針和總體職責(zé)；監(jiān)督信息資產(chǎn)面臨重大威脅時(shí)所暴露出的重大變化；評(píng)審和監(jiān)督信息安全事故；批準(zhǔn)加強(qiáng)信息安全的主動(dòng)行為。應(yīng)有一名經(jīng)理負(fù)責(zé)和安全有關(guān)的所有行為。2. 信息安全的協(xié)作問(wèn)題在較大的組織內(nèi)部，有必要成立由各相關(guān)部門的管理代表組成的跨部門的信息安全委員會(huì)，以合作實(shí)施信息安全的控制措施。它的主要功能有： 批準(zhǔn)組織內(nèi)關(guān)于信息安全的具體任務(wù)和責(zé)任； 批準(zhǔn)信息安全方面的具體方法和程序，如風(fēng)險(xiǎn)評(píng)估、安全分類系統(tǒng)； 批準(zhǔn)和支持全組織范圍的信息安全問(wèn)題的提議，如安全意識(shí)培訓(xùn)； 確保安全問(wèn)題是信息設(shè)計(jì)過(guò)程的一部分； 評(píng)估新系統(tǒng)或服務(wù)在信息安全控制實(shí)施方面的充分程度和協(xié)作情況； 評(píng)審信息安全事故； 提高全組織對(duì)信息安全的支持程度。3. 信息安全責(zé)任分配保護(hù)單獨(dú)的資產(chǎn)和實(shí)施具體的安全過(guò)程的職責(zé)應(yīng)該給予明確定義。信息安全方針（見(jiàn)上述條款）應(yīng)該為組織內(nèi)部信息安全任務(wù)和責(zé)任的分配提供總體的指導(dǎo)。必要時(shí)，針對(duì)具體的地點(diǎn)、系統(tǒng)和服務(wù)，應(yīng)對(duì)此方針作更詳細(xì)的補(bǔ)充。對(duì)由各項(xiàng)有形資產(chǎn)和信息資產(chǎn)以及安全程序所在方承擔(dān)的責(zé)任，如可持續(xù)運(yùn)營(yíng)計(jì)劃，應(yīng)清晰定義。在許多組織中，會(huì)任命一名信息安全經(jīng)理來(lái)負(fù)責(zé)信息安全工作的開(kāi)展和實(shí)施，并支持控制措施的鑒別工作。然而，分配資源和實(shí)施控制措施的責(zé)任一般由各部門經(jīng)理承擔(dān)。通常的做法是為每項(xiàng)信息資產(chǎn)指定專人來(lái)負(fù)責(zé)日常的安全工作。信息資產(chǎn)的負(fù)責(zé)人可以把安全職責(zé)委托給各部門的經(jīng)理或服務(wù)提供商。然而，信息資產(chǎn)負(fù)責(zé)人對(duì)資產(chǎn)的安全負(fù)有最終的責(zé)任，并應(yīng)有權(quán)確定責(zé)任人是否恰當(dāng)?shù)穆男辛寺氊?zé)。對(duì)各個(gè)經(jīng)理所負(fù)責(zé)的安全領(lǐng)域的清晰描述是很重要的，特別應(yīng)進(jìn)行以下工作：和各個(gè)系統(tǒng)相關(guān)的各種資產(chǎn)和安全過(guò)程應(yīng)給予識(shí)別和明確的定義。各項(xiàng)資產(chǎn)或安全過(guò)程的管理者責(zé)任應(yīng)經(jīng)過(guò)審批，并以文件的形式詳細(xì)記錄該職責(zé)。授權(quán)級(jí)別應(yīng)清晰定義并記錄在案。4. 信息處理設(shè)備的授權(quán)程序?qū)τ谛碌男畔⑻幚碓O(shè)備應(yīng)建立管理授權(quán)程序，應(yīng)考慮以下控制措施：新設(shè)備應(yīng)有適當(dāng)?shù)挠脩艄芾韺徟贫?，?duì)用戶的使用目的和使用情況進(jìn)行授權(quán)。同樣應(yīng)得到負(fù)責(zé)維護(hù)本地信息系統(tǒng)安全環(huán)境的經(jīng)理的批準(zhǔn)，以確保滿足所有相關(guān)的安全方針和要求。如有必要，應(yīng)檢查硬件和軟件，以確保與其他系統(tǒng)部件兼容（注：對(duì)于有些連接，類型兼容也是必須的）。使用個(gè)人信息處理設(shè)備來(lái)處理商業(yè)信息以及任